Menurut penyelidikan baru-baru ini, pengguna dompet crypto Metamask mungkin berisiko kehilangan semua aset digital mereka atau bahkan ancaman fizikal. Penganalisis keselamatan dan kriptografi Alexandru Lupascu, pengasas bersama protokol OMNIA, mendapati kelemahan ini dalam dompet Web 3.0 yang popular.
Berapa banyak kemudaratan yang boleh dilakukan?
Lupascu mendapati bahawa pihak yang berniat jahat hanya boleh mencipta token tidak boleh kulat (NFT) dan mendapatkan alamat IP pengguna dengan memindahkan pemilikan percuma seni digital itu. Seorang penggodam perlu membelanjakan serendah $50 untuk menyerang privasi seseorang. Dia menyebut, "Jangan memandang rendah risiko yang berkaitan dengan kebocoran IP."
Lupascu menambah bahawa "jika pelaku berniat jahat memperoleh lebih banyak maklumat daripada alamat IP (fikirkan geolokasi, pembawa GSM, dll.), mereka boleh mengubahnya menjadi risiko fizikal, seperti penculikan."
Tambahan pula, serangan ini boleh menjadi lebih "menghancurkan daripada serangan Penafian Perkhidmatan (DDoS) Teragih," menurut jurukriptografi. Sebagai perbandingan mudah, serangan ini boleh menjadi lapan kali lebih kuat daripada serangan botnet Mirai pada Okt 2016 yang menghapuskan Twitter, Reddit, Spotify, GitHub, Netflix, Airbnb dan banyak lagi tapak web popular.
Alexandru menerbitkan lawatan lengkap tentang cara serangan itu dilakukan, daripada mencetak NFT kepada memindahkannya kepada mangsa untuk mendapatkan alamat IP dan akhir sekali, menjejaskan privasi atau bahkan mencuri aset kripto mereka. Dia menguji serangan ini pada apl iOS Metamask versi 3.7.0, tetapi ia mungkin juga sama untuk versi Android. Beliau mencipta NFT di OpenSea, pasaran NFT terbesar, dan menyunting kontrak pintar standard ERC-1155 dengan Remix IDE Ethereum.
Adakah mereka membetulkannya?
Menurut Lupascu, dia menemui dan menangani kecacatan keselamatan kepada pasukan Metamask pada 14 Dis 2021, tetapi mereka mengabaikan dan bertindak balas untuk membetulkan isu ini menjelang S2 2022. Dia berkata, “Bagi kami, adalah tidak boleh diterima untuk meninggalkan pengguna yang begitu besar. asas berisiko untuk sekian lama, terutamanya jika ini diketahui terlebih dahulu, seperti yang mereka katakan."
Selepas penyelidikan ini ditunjukkan kepada orang ramai, Daniel Finlay, yang merupakan pengasas Metamask, mengaku, "Saya rasa isu ini telah diketahui secara meluas sejak sekian lama, jadi saya rasa tempoh pendedahan tidak dikenakan."
Finlay menambah, "Alex betul untuk memanggil kami kerana tidak menanganinya lebih awal. Mula mengerjakannya sekarang. Terima kasih atas sepakan dalam seluar, dan maaf kami memerlukannya.”
Tidak lupa, ConsenSys, syarikat induk Metamask, mengumpul $200 juta dengan Metamask melebihi 21 juta pengguna aktif bulanan pada Nov 2021. Dompet crypto paling popular juga digunakan sebagai pintu masuk kepada 3,700 aplikasi terpencar Web 3.0 (dApps).
Apa pendapat anda mengenai subjek ini? Tulis kepada kami dan beritahu kami!
Penafian
Semua maklumat yang terdapat di laman web kami diterbitkan dengan niat baik dan hanya untuk tujuan maklumat umum. Segala tindakan yang diambil oleh pembaca terhadap maklumat yang terdapat di laman web kami adalah dengan risiko mereka sendiri.
Sumber: https://beincrypto.com/critical-vulnerability-found-that-could-put-21m-metamask-users-data-at-risk/